[보안뉴스 김경애] 스마트폰, 클라우드, 빅데이터 등 새로운 IT 환경이 도입되면서 이에 따른 개인정보보호 문제가 대두되고 있다. 그러나 이러한 새로운 환경에 따른  개인정보보호의 기술적·법률적 대응방안이 제대로 정립되고 있지 않아 여러 가지 문제점들이 제기되고 있다.

이와 관련 한국인터넷진흥원 정보보호본부 정경호 본부장은 ‘스마트, 클라우드, 빅데이터 환경과 프라이버시 보호’란 주제로 기술적인 측면에서 개인정보에 대한 이슈와 문제점을 짚어보고 이를 위한 기술적 대안을 제시했다.

발표를 통해 정경호 본부장은 “개인정보 활용이 가능하다는 전제하에 개인정보가 보호되어야 한다”며, “국제적인 표준으로 개인정보의 가치를 생각하고, 신기술 및 서비스 대책에 대해 고민해야 하며, 개인정보 규제에 대해서도 처벌의 실효성과 효율성에 대해 보다 깊이 생각해봐야 한다”고 말했다.

이에 대해 정경호 본부장은 스마트환경에서의 개인정보보호를 위한 기술적 대안으로  정보의 암호화와 익명화를 제시했다. 이를테면 △위치정보 익명화 △스마트 기기 전송데이터 암호화 △제로 트래킹 △악명화 접속 △암호화 메시징 등이다.

이어 법적인 측면에서 단국대학교 법학과 정준현 교수는 개인정보보호에 대한 문제점과 대안을 제시했다. 이와 관련 정 교수는 “개인식별정보 사용은 엄격하게 통제하고 있지만 비개인식별정보 사용은 통제하지 않는다”며, “법은 있지만 현실적으로 무력화되고 있는 실정”이라고 밝혔다. 따라서 ‘프라이버시에 유해하다’는 현행 법령 체계를 재정립할 필요가 있다고 강조했다.

이러한 규범과 현실의 괴리를 제거하기 위해 정준현 교수는 △개인정보의 개념을 직접식별정보에 한정 △개인의 형태정보 등 수집 동의의 Opt-out 적용 △과태료 및 벌금 등의 금전제재 수단의 정리 △데이터 사용흐름을 보여주도록 법으로 의무화하도록 해야 한다고 강조했다.

주제발표가 끝난 후, 기술적 측면과 법적 측면에서의 개인정보보호에 대해 각계 전문가들이 모여 다양한 의견을 제시한 토론이 진행됐다. 한국과학기술정보연구원 남길현 위원이 좌장을 맡은 가운데 진행된 ‘새로운 기술환경과 개인정보보호의 새로운 지평-기업의 대응’이란 주제의 토론 내용을 정리했다.

작년 8월경 인터넷 실명제가 위헌 판결을 받은 지 만 1년이 되었다. 이에 따라 본인 확인이 필요한 부분에서는 그간 주민등록번호를 제공해왔다. 업계에서는 이를 두고 개인정보 유출과 무관하지 않다는 의견도 적지 않았다. 이 점은 프라이버시 측면에서 의미가 있다고 본다. 본인 확인이 필요한 사이트들을 보호할 수단이 확보되지 않은 상태에서 수신자의 사전 동의를 얻어야 하는 옵트인(opt-in) 제도가 운영되었기 때문에 이에 따른 현실적인 대응방법 등이 필요하다고 본다.  

권 헌 영 광운대학교 법과대학 교수- 개인정보보호에 대해 정부가 개입할 부분과 개입하지 말아야 할 부분을 나누는 작업이 필요하다. 기업과 민간에서 개인정보보호 문제가 발생할 때 표준화될 매뉴얼로 처리할 수 있도록 하고, 중요한 부분에 대해서는 집중적으로 보호해야 한다. 공공기관이 국민의 개인정보를 이용할 때는 엄격하게 법을 적용시키고, 기업과 민간 영역에서의 개인정보는 분야별로 의료, 노동, 교육 분야 등으로 나눠 체계적으로 법이 집행되어야 한다.

구 태 언 법무법인 테크앤로 변호사-개인정보는 정형 개인정보와 비정형 개인정보로 나눌 수 있다. 정형 개인정보는 어떤 사이트에 가입하거나 서비스를 이용하기 위해 수집되는 정형적인 개인정보이고, 비정형 개인정보는 이동시 자동으로 수집되는 교통정보, 하이패스 기기에 의해 수집되는 정보, 위치정보 등 시스템에 의해 수집된 정보로 각각의 정보들이 결합하게 되면 개인식별이 가능해진다.

따라서 개인정보의 고지 및 동의제도를 큰 축으로 놓고, 개인정보를 논의하기에는 부적절한 문제가 발생한다. 이에 따라 정형 개인정보에 대해서는 옵트아웃(Op-out) 전환으로 적절한 이용을 보장하되, 실제 개인정보 이용에 대해서는 정보제공자가 언제든 이의를 제기 할 수 있도록 해야 한다. 비정형적인 개인정보에 대해서는 개인정보보호가 생성되는 시점으로 규제의 초점을 맞춰야 한다. 

김 경 환 법무법인 민후 변호사-현행 법 및 제도 하에서는 개인정보보호의 균형점이 적절하지 않다고 본다. 법은 기술혁신의 물꼬를 터주면서도 정보주체의 권리보장에 대해서는 부족함이 없어야 한다. 이와 관련 현재 개인정보보호의 틀은 살펴보면 식별성, 목적성, 동의성으로 나누고 있다. 그러나 현재 개인정보보호 개념은 식별성 위주로 되어 있다. 따라서 개인정보보호의 가치가 고유성, 민감성, 활용성에 따른 기준이 있었는지 생각해봐야 하고, 식별성을 탈피한 여러 가지 측면에서의 새로운 보호기준이 필요하다.  

또한, 개인정보 처리에 있어 이미 수집된 개인정보가 기술의 발달로 인해 다른 목적으로 이용될 때에는 별도 동의를 받아야 한다. 그러나 물리적으로 기업이 별도의 동의를 받기란 어려운 실정이다. 따라서 별도의 동의를 받는 대신 개인정보를 보호 할 수 있는 다양한 방법을 강구해야 한다.  

안 근 영 개인정보보호위원회 과장- 새로운 기술 환경에 따른 개인정보의 정의에 대해 고민해야 한다. 개인정보보호와 관련해 정부가 과도하게 개입한다는 의견에 대해서는 동의하지 않지만, 정부가 해야할 일과 아닌 일에 대한 명확한 구분은 필요하다는 생각이다.

민감정보에 관련해서는 정보수집을 최소화하도록 법령을 정비했기 때문에 공공기관의 경우 반드시 필요한 경우가 아니라면 민감정보 수집을 최소화해야 한다. 또한, 과도한 정보수집 측면에 있어서는 학교 생활환경조사서, 상담기록부 작성 등 기존 관행에서의 과도한 개인정보 수집에 대한 새로운 시각도 필요하다고 본다.  

심 우 민 국회 입법조사처 조사관- 현 단계에서 개인정보를 어떻게 해석하고 적용하느냐에 대해 고민해야 한다. 기술적인 발전에 의해 부각되어야 할 것은 개인 정보의 이용 부분이다. 현재 법률 기준은 사업자 입장에서는 같은 내용인데 표현이 다르고, 위치정보 등의 동의권이 과도하게 남용되고 있다고 본다. 동의권에 대해 세부적으로 수정할 필요는 있지만 큰 틀에서는 기존의 규정을 어떻게 해석하고 적용하느냐에 초점을 맞춰야 하고, 비식별화 정보에는 민간단체의 적극적인 참여와 의견개진이 있어야 한다. 식별가능성이 있는 정보결합의 기준에 있어서는 현장에서의 공감대가 형성되어야 가능하다.

이 진 화 다음커뮤티케이션 팀장- 스마트폰 앱을 통한 개인정보 침해사건과 관련된 정통망법 1심 판례(2008년)를 보면 앱을 통해 수집되는 정보와 다른 정보가 합쳐져 식별될 경우 이를 개인정보로 보는 것이 맞다고 판결한 바 있다. 이러한 법률을 적용할 때 현재 안드로이드 OS에서는 앱개발자가 쉽게 정보를 가져갈 수 있도록 허용하고 있는데, 이는 범법행위로 볼 수 있다. 동의를 받지 않았기 때문이다. 따라서 정통망법에 나와있는 문구인 ‘쉽게 결합한’이란 의미가 빅데이터에 적합한 용어인지 생각해 볼 필요가 있다. 용어와 개념의 정의에 대해 논의하고, 새로운 환경에 맞게 개선할 필요가 있다.

남 길 현 한국과학기술정보연구원 연구위원(좌장)-기업이 개인인정보 수집시 사전동의를 받는 것은 개인정보보호법에 위배되지 않기 위한 것이다. 그러나 기업이 제공하는 서비스를 이용하려면 정보제공자는 정보수집에 동의할 수밖에 없는 상황이 벌어진다. 이 점은 개인정보보호가 제대로 이뤄지지 않고 있는 모습을 보여주는 단적인 예다. 이에 따라 각각의 입장에서 개인정보보호에 대한 여러 가지 문제점을 짚어주고 다양한 의견이 제시된 자리가 됐다. 그러나 클라우드, 빅데이터와 같은 신기술에 따른 개인정보보호에 대해서는 기존의 타이트한 규제보단 활용성 측면을 고려한 규제에 대한 의견이 많은 것으로 보인다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>